Apărarea Ucrainei: Primele lecții din războiul cibernetic

Nu este de mirare că încă de la bun început, Rusia a țintit centrul de date al guvernului Ucrainean cu un atac cu rachete de croazieră, iar alte servere locale s-au dovedit a fi la fel de vulnerabile în fața armelor convenționale. Totodată, Rusia a vizat, prin atacurile sale distructive de tip „ștergător”, rețelele de computere locale. Însă guvernul ucrainean a reușit să-și continue cu succes operațiunile civile și militare acționând rapid pentru a-și transfera infrastructura digitală în cloudul public, fiind găzduită în centre de date din întreaga Europă.

În acest sens, au fost luate măsuri urgente și extraordinare în întregul sector tehnologic, inclusiv de către Microsoft. Deși activitatea sectorului tehnologic a fost vitală, este important să analizăm și concluziile de lungă durată care decurg din aceste demersuri.

Deoarece activitățile cibernetice sunt invizibile cu ochiul liber, sunt mai greu de urmărit de către jurnaliști și chiar de mulți analiști militari. Microsoft a constatat că armata rusă a lansat mai multe valuri de atacuri cibernetice distructive împotriva a 48 de agenții și întreprinderi ucrainene distincte. Acestea au încercat să pătrundă în domeniile rețelelor compromițând inițial sute de computere și apoi răspândind programe malware concepute pentru a distruge software-ul și datele de pe alte câteva mii de computere.

În acest război, tacticile cibernetice rusești diferă de cele utilizate în atacul NotPetya împotriva Ucrainei din 2017. Respectivul atac era bazat pe programe malware distructive „wormable”, care puteau să treacă de la un domeniu informatic la altul și, prin urmare, să pătrundă în alte țări. În 2022, Rusia a avut grijă să limiteze „softul ștergător” distructiv la anumite domenii de rețea din interiorul Ucrainei. Însă atacurile distructive recente și actuale sunt sofisticate și mai răspândite decât se estimează în numeroase rapoarte. Iar armata rusă continuă să adapteze aceste atacuri distructive la necesitățile schimbătoare ale războiului, inclusiv prin combinarea atacurilor cibernetice cu utilizarea armelor convenționale.

Un aspect definitoriu al acestor atacuri distructive de până acum constă în eficiența și succesul relativ al apărării cibernetice. Deși nu sunt perfecte și unele atacuri distructive au reușit, aceste apărări cibernetice s-au dovedit mai puternice decât capacitățile cibernetice de ofensivă. Acest lucru reflectă două tendințe recente și semnificative. În primul rând, progresele în ceea ce privește investigarea amenințărilor, inclusiv utilizarea inteligenței artificiale, au permis o detectare mai eficientă a acestor atacuri. În al doilea rând, protecția punctelor finale cu conexiune la internet a facilitat distribuirea rapidă a codului software de protecție atât către serviciile cloud, cât și către alte dispozitive informatice conectate, pentru a identifica și dezactiva acest malware. Inovațiile și măsurile luate în timpul războiului, împreună cu guvernul ucrainean, au consolidat și mai mult această protecție. Totuși, pentru a menține acest avantaj defensiv, va fi probabil nevoie de vigilență și inovare continuă.

În cadrul companiei Microsoft, am detectat demersurile Rusiei de penetrare a rețelelor în 128 de organizații din 42 de țări din afara Ucrainei. Cu toate că Statele Unite au constituit obiectivul principal al Rusiei, aceste activități au vizat și Polonia, unde se coordonează o mare parte din logistica de livrare a asistenței militare și umanitare. Totodată, Rusia a vizat și țările baltice, iar în ultimele două luni s-a înregistrat o creștere a numărului de activități similare care au vizat rețele de computere din Danemarca, Norvegia, Finlanda, Suedia și Turcia. De asemenea, constatăm o creștere a numărului de activități similare care vizează ministerele de externe din alte țări NATO.

Rusia a țintit în mod prioritar guvernele, în special în rândul membrilor NATO. Însă lista de ținte a inclus, totodată, think tankuri, organizații umanitare, companii IT și furnizori de energie și alte infrastructuri critice. De la începutul războiului, atacurile rusești descoperite de noi au reușit în 29% din cazuri. Un sfert dintre aceste intruziuni reușite au dus la exfiltrarea confirmată a datelor unei organizații, deși, după cum se explică în raport, această cifră subestimează probabil gradul de reușită al Rusiei.

În continuare ne îngrijorează cel mai mult computerele guvernamentale care rulează local și nu în cloud. Acest lucru reflectă starea actuală și globală a spionajului cibernetic ofensiv și a protecției cibernetice defensive. Incidentul SolarWinds de acum 18 luni a demonstrat că serviciile de informații rusești posedă abilități remarcabil de sofisticate de a implementa coduri și de a funcționa ca o amenințare persistentă avansată (APT), capabile să acceseze și să sustragă informații confidențiale dintr-o rețea în mod continuu. De atunci, s-au înregistrat progrese considerabile în domeniul protecției defensive, însă punerea lor în aplicare este în continuare mai puțin uniformă în guvernele europene decât în Statele Unite. Drept urmare, există în continuare deficiențe semnificative în materie de apărare colectivă.

Acestea combină tacticile dezvoltate de KGB de-a lungul mai multor decenii cu noile tehnologii digitale și cu accesul la internet pentru a extinde raza de acoperire teritorială a operațiunilor de influență externe, pentru a le amplifica volumul, pentru a le direcționa mai precis și pentru a le conferi o viteză și o agilitate crescută. Din păcate, dacă sunt planificate și suficient de sofisticate, aceste operațiuni de influență cibernetică sunt în măsură să profite de transparența îndelungată a societăților democratice și de polarizarea publică caracteristică vremurilor actuale.

Odată cu evoluția războiului din Ucraina, agențiile rusești își concentrează operațiunile de influență cibernetică pe patru categorii distincte de public. Ele vizează populația rusă cu scopul de a menține sprijinul pentru efortul de război. Ele vizează populația ucraineană cu scopul de a submina încrederea în dorința și capacitatea țării de a rezista în fața atacurilor rusești. Ele vizează cetățenii americani și europeni cu scopul de a submina unitatea occidentală și de a deturna criticile privind crimele de război comise de armata rusă. De asemenea, acestea au început să vizeze populațiile din țările nealiate, posibil și pentru a-și menține susținerea la ONU și în alte locuri.

Operațiunile rusești de influență cibernetică se bazează pe tacticile dezvoltate pentru alte activități cibernetice și sunt conectate la acestea. La fel ca și echipele APT care funcționează în cadrul serviciilor de informații rusești, echipele de manipulare persistentă avansată (APM) asociate cu agențiile guvernamentale rusești acționează prin intermediul rețelelor sociale și al platformelor digitale. Această abordare implică poziționarea anticipată a unor concepții false în maniere asemănătoare cu poziționarea în prealabil a malware-ului și a diferitelor coduri software. Aceștia lansează apoi "raportări" ample și simultane ale acestor concepții de pe site-urile web gestionate și influențate de guverne și își amplifică concepțiile prin intermediul unor instrumente tehnologice concepute pentru a exploata serviciile rețelelor de socializare. Printre exemplele recente se numără concepțiile din jurul laboratoarelor biologice din Ucraina și numeroasele tentative de a mușamaliza atacurile militare împotriva unor ținte civile ucrainene.

În cadrul unei noi inițiative la Microsoft, utilizăm inteligența artificială, noi instrumente de analiză, seturi de date mai ample și un număr tot mai mare de experți pentru a urmări și prognoza această amenințare cibernetică. Cu ajutorul acestor capacități noi, estimăm că operațiunile de influență cibernetică rusești au dus la creșterea răspândirii propagandei rusești după începerea războiului cu 216% în Ucraina și cu 82% în Statele Unite.

Aceste operațiuni rusești actuale se bazează pe tentativele sofisticate recente de răspândire a unor concepții false despre COVID-19 în mai multe țări occidentale. Acestea au cuprins operațiuni de influență cibernetică sponsorizate de stat în 2021, care au încercat să descurajeze adoptarea vaccinurilor prin intermediul rapoartelor de pe internet în limba engleză, încurajând în același timp utilizarea vaccinurilor prin intermediul site-urilor în limba rusă. În ultimele șase luni, alte operațiuni similare de influență cibernetică rusească au încercat să stimuleze opoziția publică față de politicile COVID-19 în Noua Zeelandă și Canada.

Vom continua să extindem activitatea Microsoft în acest domeniu în săptămânile și lunile care urmează. Aceasta include atât o creștere internă, cât și prin acordul pe care l-am anunțat săptămâna trecută de a achiziționa Miburo Solutions, o companie de vârf în domeniul analizei și cercetării amenințărilor cibernetice, specializată în detectarea și combaterea operațiunilor de influență cibernetică externe.

Ne îngrijorează faptul că multe dintre operațiunile actuale de influență cibernetică din Rusia se desfășoară cu lunile fără a fi detectate, analizate sau raportate public. Acest lucru are un impact din ce în ce mai mare asupra mai multor instituții importante, atât din sectorul public, cât și din cel privat. Și cu cât războiul din Ucraina va dura mai mult, cu atât mai importante vor deveni aceste operațiuni pentru Ucraina însăși. Acest lucru se datorează faptului că un război mai lung va necesita întreținerea sprijinului public pentru a face față inevitabilei epuizări accentuate. Acest lucru ar trebui să accentueze importanța consolidării apărării occidentale împotriva acestor tipuri de atacuri externe de influență cibernetică.

După cum demonstrează războiul din Ucraina, deși aceste amenințări sunt diferite, guvernul rus nu le tratează ca pe niște demersuri separate, iar noi nu ar trebui să le clasificăm separat din punct de vedere analitic. În plus, strategiile defensive trebuie să țină seama de coordonarea acestor operațiuni cibernetice cu operațiunile militare cinetice, așa cum s-a întâmplat în Ucraina.

Sunt necesare noi progrese pentru a contracara aceste amenințări cibernetice, iar acestea vor depinde de patru principii comune și, cel puțin la nivel înalt, de o strategie comună. Primul principiu defensiv ar trebui să țină cont de faptul că amenințările cibernetice rusești sunt lansate de un ansamblu comun de actori din interiorul și exteriorul guvernului rus și se bazează pe tactici digitale similare. Prin urmare, pentru a le contracara, vor fi necesare progrese în domeniul tehnologiei digitale, al inteligenței artificiale și al datelor. În acest sens, un al doilea principiu ar trebui să țină seama de faptul că, spre deosebire de amenințările tradiționale din trecut, răspunsurile cibernetice trebuie să se bazeze pe o colaborare sporită între sectorul public și cel privat. Un al treilea principiu ar trebui să vizeze necesitatea unei colaborări multilaterale strânse și comune între guverne pentru a proteja societățile democratice și transparente. Iar al patrulea principiu defensiv, și totodată cel din urmă, ar trebui să susțină libertatea de exprimare și să evite cenzura în societățile democratice, chiar dacă sunt necesare noi măsuri pentru a aborda întreaga varietate de amenințări cibernetice care includ operațiunile de influență cibernetică.

Un răspuns eficient trebuie să se bazeze pe aceste principii cu ajutorul unor patru piloni strategici. Aceștia ar trebui să sporească capacitățile colective pentru a (1) detecta, (2) a se apăra, (3) a perturba și (4) a descuraja mai eficient amenințările cibernetice externe. Această abordare se reflectă deja în numeroase demersuri colective de combatere a atacurilor cibernetice distructive și a spionajului cibernetic. De asemenea, ele sunt valabile și în cazul lucrărilor critice și continue necesare pentru a face față atacurilor ransomware. Acum avem nevoie de o abordare similară și cuprinzătoare, cu noi capacități și mijloace de apărare pentru a contracara operațiunile de influență cibernetică ale Rusiei.

Conform celor discutate în acest raport, războiul din Ucraina nu oferă doar lecții, ci și un apel la acțiune pentru măsuri eficiente care vor fi vitale pentru protejarea viitorului democrației. Compania noastră se angajează să sprijine aceste demersuri, inclusiv prin noi și noi investiții continue în tehnologie, date și parteneriate care vor sprijini guvernele, companiile, ONG-urile și universitățile.

Pentru a afla mai multe, citiți raportul complet.